forum.opennet.ru

Составление сообщения

Исходное сообщение

"В WordPress молча устранена уязвимость, позволяющая изменить..."
Отправлено opennews, 03-Фев-17 12:44

В опубликованном 26 января корректирующем обновлении WordPress 4.7.2 (https://wordpress.org/news/2017/01/wordpress-4-7-2-security-.../) без лишней огласки была устранена критическая уязвимость (https://blog.sucuri.net/2017/02/content-injection-vulnerabil...), позволяющая удалённому атакующему без аутентификации изменить содержимое любой страницы через манипуляцию с REST API. Разработчики WordPress пояснили (https://make.wordpress.org/core/2017/02/01/disclosure-of-add.../) отсутствие упоминания об исправлении уязвимости в анонсе тем, что они лишь придержали публикацию уведомления, желая дождаться пока будет установлено обновление у как можно большего числа пользователей, чтобы предотвратить волну атак и вандализма.

Проблема проявляется только в выпусках WordPress 4.7 и 4.7.1, более ранние версии не подвержены проблеме, даже при включении плагина REST API. REST API по умолчанию включён начиная с ветки 4.7 и предоставлет альтернативный способ манипуляции с настойками, комментариями и публикациями. Уязвимость была обнаружена 20 января исследователями из компании Sucuri в процессе реализации инициативы по аудиту открытых проектов. Разработчики WordPress оперативно выпустили обновление и при участии сетей доставки контента
Incapsula, Cloudflare и SiteLock убедились, что в трафике не встречаются попытки эксплуатации данной уязвимости, после чего решили на несколько дней придержать сообщение о проблеме.
Уязвимость вызвана особенностью обработки передаваемых через REST API значений, в частности, передаваемые через $_GET и $_POST параметры имели более высокий приоритет в обработке, чем параметры, закодированные внутри пути. Воспользовавшись данной особенностью атакующий мог передать запрос с идентификатором, включающим не только цифры, но и буквы, и обойти таким образом проверки на наличие полномочий для выполнения операции.

Например, вместо штатного запроса "/wp-json/wp/v2/posts/1234" можно отправить "/wp-json/wp/v2/posts/1234?id=5678helloworld", для которого значение парамера "?id=" будет иметь более высокий приоритет, чем идентификатор в пути "/1234". При проверке прав доступа проверяется наличие идентификатора "5678helloworld" и так как он не найден и не привязан к владельцу, передаётся управление в вызов get_post, который должен завершить запрос не найдя страницу. Но перед вызовом функции get_post осуществляется приведение переменной к целому типу и вместо "5678helloworld" передаётся значение "5678", указывающее на существующую страницу, что приводит не к выходу, а к вызову метода update_item. Отмечается, что в зависимости от используемых плагинов уязвимость может привести не только к подстановке своего содержимого на страницу, но и к выполнению произвольного PHP-кода на сервере.

URL: https://blog.sucuri.net/2017/02/content-injection-vulnerabil...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45974

Исходное сообщение
"В WordPress молча устранена уязвимость, позволяющая изменить..." Отправлено opennews, 03-Фев-17 12:44
В опубликованном 26 января корректирующем обновлении WordPress 4.7.2 (https://wordpress.org/news/2017/01/wordpress-4-7-2-security-.../) без лишней огласки была устранена критическая уязвимость (https://blog.sucuri.net/2017/02/content-injection-vulnerabil...), позволяющая удалённому атакующему без аутентификации изменить содержимое любой страницы через манипуляцию с REST API. Разработчики WordPress пояснили (https://make.wordpress.org/core/2017/02/01/disclosure-of-add.../) отсутствие упоминания об исправлении уязвимости в анонсе тем, что они лишь придержали публикацию уведомления, желая дождаться пока будет установлено обновление у как можно большего числа пользователей, чтобы предотвратить волну атак и вандализма. Проблема проявляется только в выпусках WordPress 4.7 и 4.7.1, более ранние версии не подвержены проблеме, даже при включении плагина REST API. REST API по умолчанию включён начиная с ветки 4.7 и предоставлет альтернативный способ манипуляции с настойками, комментариями и публикациями. Уязвимость была обнаружена 20 января исследователями из компании Sucuri в процессе реализации инициативы по аудиту открытых проектов. Разработчики WordPress оперативно выпустили обновление и при участии сетей доставки контента Incapsula, Cloudflare и SiteLock убедились, что в трафике не встречаются попытки эксплуатации данной уязвимости, после чего решили на несколько дней придержать сообщение о проблеме. Уязвимость вызвана особенностью обработки передаваемых через REST API значений, в частности, передаваемые через $_GET и $_POST параметры имели более высокий приоритет в обработке, чем параметры, закодированные внутри пути. Воспользовавшись данной особенностью атакующий мог передать запрос с идентификатором, включающим не только цифры, но и буквы, и обойти таким образом проверки на наличие полномочий для выполнения операции. Например, вместо штатного запроса "/wp-json/wp/v2/posts/1234" можно отправить "/wp-json/wp/v2/posts/1234?id=5678helloworld", для которого значение парамера "?id=" будет иметь более высокий приоритет, чем идентификатор в пути "/1234". При проверке прав доступа проверяется наличие идентификатора "5678helloworld" и так как он не найден и не привязан к владельцу, передаётся управление в вызов get_post, который должен завершить запрос не найдя страницу. Но перед вызовом функции get_post осуществляется приведение переменной к целому типу и вместо "5678helloworld" передаётся значение "5678", указывающее на существующую страницу, что приводит не к выходу, а к вызову метода update_item. Отмечается, что в зависимости от используемых плагинов уязвимость может привести не только к подстановке своего содержимого на страницу, но и к выполнению произвольного PHP-кода на сервере. URL: https://blog.sucuri.net/2017/02/content-injection-vulnerabil... Новость: https://www.opennet.ru/opennews/art.shtml?num=45974

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В опубликованном 26 января корректирующем обновлении WordPress 4.7.2 (https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/) 
> без лишней огласки была устранена критическая уязвимость (https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html), 
> позволяющая удалённому атакующему без аутентификации изменить содержимое любой страницы 
> через манипуляцию с REST API. Разработчики WordPress пояснили (https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/) 
> отсутствие упоминания об исправлении уязвимости в анонсе тем, что они лишь 
> придержали публикацию уведомления, желая дождаться пока будет установлено обновление 
> у как можно большего числа пользователей, чтобы предотвратить волну атак и 
> вандализма.

> Проблема проявляется только в выпусках WordPress 4.7 и 4.7.1, более ранние версии 
> не подвержены проблеме, даже при включении плагина REST API. REST API 
> по умолчанию включён начиная с ветки 4.7 и предоставлет альтернативный способ 
> манипуляции с настойками, комментариями и публикациями. Уязвимость была обнаружена 20 
> января исследователями из компании  Sucuri в процессе реализации инициативы по 
> аудиту открытых проектов. Разработчики WordPress оперативно выпустили обновление и при 
> участии сетей доставки контента 
> Incapsula, Cloudflare и SiteLock убедились, что в трафике не встречаются попытки эксплуатации 
> данной уязвимости, после чего решили на несколько дней придержать сообщение о 
> проблеме.

> Уязвимость вызвана особенностью обработки передаваемых через REST API значений, в частности, 
> передаваемые через $_GET и $_POST параметры имели более высокий приоритет в 
> обработке, чем параметры, закодированные внутри пути. Воспользовавшись данной особенностью 
> атакующий мог передать запрос с идентификатором, включающим не только цифры, но 
> и буквы, и обойти таким образом проверки на наличие полномочий для 
> выполнения операции.

> Например, вместо штатного запроса "/wp-json/wp/v2/posts/1234" можно отправить "/wp-json/wp/v2/posts/1234?id=5678helloworld", 
> для которого значение парамера "?id=" будет иметь более высокий приоритет, чем 
> идентификатор в пути "/1234". При проверке прав доступа проверяется наличие идентификатора 
> "5678helloworld" и так как он не найден и не привязан к 
> владельцу, передаётся управление в вызов get_post, который должен завершить запрос не 
> найдя страницу. Но перед вызовом функции get_post осуществляется приведение переменной 
> к целому типу и вместо "5678helloworld" передаётся значение "5678", указывающее на 
> существующую страницу, что приводит не к выходу, а к вызову метода 
> update_item. Отмечается, что в зависимости от используемых плагинов уязвимость может привести 
> не только к подстановке своего содержимого на страницу, но и к 
> выполнению произвольного PHP-кода на сервере.

> URL: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45974

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру